Sujet Précédent Sujet Suivant

"Chat de foot" très gênant !

Résolu/Fermé
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 - 3 juin 2010 à 19:51
 Utilisateur anonyme - 12 août 2010 à 13:32
Bonjour,
dès que mon ordinateur démarre, j'ai une icône qui se crée sur mon bureau, dans ma barre de lancement rapide et dans le menu démarrer vers un site de chat de foot. Cela modifie aussi ma page d'accueil de Firefox et Internet explorer. Je voudrais savoir comment éviter tout cela à chaque démarrage de mon PC.
Merci d'avance

163 réponses

Précédent
Réponse 21 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 15:05
Résultats envoyés en mp
0
Réponse 22 / 163
Utilisateur anonyme
5 juin 2010 à 15:07
non les liens tu dois les mettre ici
0
Réponse 23 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
Modifié par --red--fire-- le 5/06/2010 à 18:07
tssss

Extras.Txt :

OTL.Txt :
0
qwerty- Messages postés 14568 Date d'inscription lundi 11 août 2008 Statut Contributeur Dernière intervention 29 décembre 2022 1 446
5 juin 2010 à 15:18
oui red fire, t'imagines bien que si tous ceux qu'ils désinfectent répondent en MP, sa messagerie devient un forum et le mp n'as pas de raison d'être...
0
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 15:24
c'était juste pour les liens
0
Réponse 24 / 163
Utilisateur anonyme
5 juin 2010 à 15:30
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :


C:\WINDOWS\System32\wlcnq.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\vqrrc.exe) - C:\WINDOWS\system32\vqrrc.exe ()
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:661DFA1C

:Files
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\vqrrc.exe
C:\WINDOWS\System32\lsprst7.dll
C:\WINDOWS\System32\ssprs.dll
C:\WINDOWS\SurCode.INI
C:\WINDOWS\317.exe.ini
C:\WINDOWS\513.exe.ini

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 15:45 
Fichier wlcnq.exe reçu le 2010.06.05 13:36:27 (UTC)
Antivirus	Version	Dernière mise à jour	Résultat
a-squared	5.0.0.26	2010.06.05	-
AhnLab-V3	2010.06.05.00	2010.06.04	-
AntiVir	8.2.2.6	2010.06.04	-
Antiy-AVL	2.0.3.7	2010.06.04	-
Authentium	5.2.0.5	2010.06.05	-
Avast	4.8.1351.0	2010.06.05	-
Avast5	5.0.332.0	2010.06.05	-
AVG	9.0.0.787	2010.06.05	-
BitDefender	7.2	2010.06.05	-
CAT-QuickHeal	10.00	2010.06.05	-
ClamAV	0.96.0.3-git	2010.06.05	-
Comodo	4995	2010.06.05	-
DrWeb	5.0.2.03300	2010.06.05	-
eSafe	7.0.17.0	2010.06.03	-
eTrust-Vet	35.2.7528	2010.06.04	-
F-Prot	4.6.0.103	2010.06.04	-
F-Secure	9.0.15370.0	2010.06.05	-
Fortinet	4.1.133.0	2010.06.05	-
GData	21	2010.06.05	-
Ikarus	T3.1.1.84.0	2010.06.05	-
Jiangmin	13.0.900	2010.06.05	-
Kaspersky	7.0.0.125	2010.06.05	Heur.StartPage
McAfee	5.400.0.1158	2010.06.05	-
McAfee-GW-Edition	2010.1	2010.06.05	Heuristic.BehavesLike.Win32.Trojan.H
Microsoft	1.5802	2010.06.05	-
NOD32	5174	2010.06.05	-
Norman	6.04.12	2010.06.05	W32/Malware
nProtect	2010-06-05.01	2010.06.05	-
Panda	10.0.2.7	2010.06.05	-
PCTools	7.0.3.5	2010.06.05	-
Prevx	3.0	2010.06.05	-
Rising	22.50.05.03	2010.06.05	-
Sophos	4.53.0	2010.06.05	-
Sunbelt	6409	2010.06.05	-
Symantec	20101.1.0.89	2010.06.05	-
TheHacker	6.5.2.0.292	2010.06.04	-
TrendMicro	9.120.0.1004	2010.06.05	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.05	-
VBA32	3.12.12.5	2010.06.04	-
ViRobot	2010.6.5.2339	2010.06.05	-
VirusBuster	5.0.27.0	2010.06.04	-
Information additionnelle
File size: 18432 bytes
MD5...: 674825e7397894b1ce4dd481e66b19f4
SHA1..: 02962d23a7a27292bc324693b11263cfce53c827
SHA256: 341f7ca0d054726cdb656c3a1755edc4d7f3b64a967647b118c1380075d7f548
ssdeep: 384:1ghMXCCFH+A9N0ECkk5JzpdxRpEJoK62yPGmJRh:1DjH+A8ECzv2oERa<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1130<br>timedatestamp.....: 0x4c01e0b3 (Sun May 30 03:51:15 2010)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x242c 0x2600 5.82 dd49c21336dd17e9fd82e522a9523b11<br>.data 0x4000 0x76c 0x800 5.89 c6db5234d4aac984f82933109c4aa7f4<br>.rdata 0x5000 0xba8 0xc00 5.37 4f6d63ad25cd82b00a1eaa9ecca6bfe1<br>.bss 0x6000 0xc4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x7000 0x878 0xa00 4.14 f26a24d0423d9694417f57eed7bad5c3<br><br>( 7 imports ) <br>> ADVAPI32.DLL: RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA<br>> KERNEL32.dll: AddAtomA, CloseHandle, CopyFileA, CreateFileA, ExitProcess, FindAtomA, GetAtomNameA, GetConsoleWindow, GetFileAttributesA, GetLastError, GetModuleFileNameA, GetTempPathA, MultiByteToWideChar, OpenProcess, SetUnhandledExceptionFilter, Sleep, VirtualProtect, VirtualQuery, WriteFile<br>> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _assert, _cexit, _errno, _findclose, _findfirst, _findnext, _fullpath, _iob, _onexit, _setmode, _stricmp, abort, atexit, fclose, fopen, fputc, fread, free, fseek, ftell, fwrite, malloc, memcpy, memset, printf, puts, rand, rewind, signal, srand, strcat, strcpy, strlen, strrchr, strstr, strtok, time, vfprintf<br>> SHELL32.DLL: SHGetFolderPathA, ShellExecuteA<br>> USER32.dll: ShowWindow, wsprintfA<br>> OLE32.dll: CoCreateInstance, CoInitialize<br>> PSAPI.DLL: EnumProcesses, GetModuleBaseNameA<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable Generic (58.2%)<br>Win16/32 Executable Delphi generic (14.1%)<br>Generic Win/DOS Executable (13.6%)<br>DOS Executable Generic (13.6%)<br>VXD Driver (0.2%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center


et 

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\vqrrc.exe deleted successfully.
C:\WINDOWS\system32\vqrrc.exe moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:661DFA1C deleted successfully.
========== FILES ==========
C:\WINDOWS\System32\tmp.reg moved successfully.
File\Folder C:\WINDOWS\System32\vqrrc.exe not found.
C:\WINDOWS\System32\lsprst7.dll moved successfully.
C:\WINDOWS\System32\ssprs.dll moved successfully.
C:\WINDOWS\SurCode.INI moved successfully.
C:\WINDOWS\317.exe.ini moved successfully.
C:\WINDOWS\513.exe.ini moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
 
User: All Users
 
User: ASPNET
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
 
User: HelpAssistant
 
User: Invité
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes
 
User: Loic
->Temp folder emptied: 109822 bytes
->Temporary Internet Files folder emptied: 1062738 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 65194604 bytes
->Flash cache emptied: 1973532 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 28570652 bytes
->Flash cache emptied: 2102 bytes
 
User: SUPPORT_388945a0
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 131702 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 93,00 mb
 
 
OTL by OldTimer - Version 3.2.5.3 log created on 06052010_153922

Files\Folders moved on Reboot...
C:\Documents and Settings\Loic\Local Settings\Temp\~DF8450.tmp moved successfully.
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_3cc.dat not found!
C:\WINDOWS\temp\ZLT06944.TMP moved successfully.

Registry entries deleted on Reboot...
0
Réponse 26 / 163
Utilisateur anonyme
5 juin 2010 à 15:49
supprime ce que je t ai fait analyser sur virus total

ensuite :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 27 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 17:37 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/06/2010 17:35:54
mbam-log-2010-06-05 (17-35-54).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 384389
Temps écoulé: 1 heure(s), 10 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 17:38
A savoir, j'ai déjà fait une analyse avec malwabytes auparavant.
0
Réponse 28 / 163
Utilisateur anonyme
5 juin 2010 à 17:47
tu as reussi à supprimer le fichier precedement indiqué ?
0
Réponse 29 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 17:50
Oui, il n'existe plus !
0
Réponse 30 / 163
Utilisateur anonyme
Modifié par gen-hackman le 5/06/2010 à 17:53
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em

et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer Shortcut
♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

?G3?-?@¢??@?(TM)©®?
0
Réponse 31 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 17:54
Je n'ai plus "chat de foot" au passage, mais j'attends des instruction pour faire un nettoyage complet.
0
Réponse 32 / 163
Utilisateur anonyme
5 juin 2010 à 17:54
https://forums.commentcamarche.net/forum/affich-17944562-chat-de-foot-tres-genant?page=2#40
0
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 17:58
oui oui, un moment :)
0
Réponse 33 / 163
Utilisateur anonyme
5 juin 2010 à 17:59
les messages se sont croisés ^^
0
Réponse 34 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 20:32
Scan terriblement long ! 

Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Present !! : HKCR\CLSID\{0055c089-8582-441b-a0bf-17b458c2a3a8}  
Present !! : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Present !! : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Present !! : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Present !! : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Present !! : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 20:31:20
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  AppInit_DLLs = acaptuser32.dll??? 

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3B1EC5]<< 
kernel: MBR read successfully

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	0 (0x0) 
FirewallOverride	REG_DWORD      	0 (0x0) 
AntiSpyWareDisableNotify	REG_DWORD      	0 (0x0) 
InternetSettingsDisableNotify	REG_DWORD      	0 (0x0) 
UacDisableNotify	REG_DWORD      	0 (0x0) 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 20:31:23,70
0
Réponse 35 / 163
Utilisateur anonyme
5 juin 2010 à 20:36
je peux l'avoir entier ?

heberge-le sur cijoint.fr et donne le lien obtenu
0
Réponse 36 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 20:39
Il est entier
0
Réponse 37 / 163
Utilisateur anonyme
5 juin 2010 à 20:41
▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Réponse 38 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
5 juin 2010 à 22:16
On peut le faire plus rapidement ? car c'est vraiment très long. Si je n'ai pas le choix, je le ferais cette nuit et posterais le rapport demain.
0
qwerty- Messages postés 14568 Date d'inscription lundi 11 août 2008 Statut Contributeur Dernière intervention 29 décembre 2022 1 446
5 juin 2010 à 23:53
hé la jeune padawan !
une des vertus du jedi est la patience...
:)
0
Réponse 39 / 163
--red--fire-- Messages postés 1014 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 27 octobre 2013 134
6 juin 2010 à 10:47 
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Loic (Administrateurs) 
Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 23:52:21 | 05/06/2010

Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : ZoneAlarm Firewall[ Enabled ]9.1.007.002

C:\ -> Disque fixe local | 465,76 Go (277,81 Go free) [Dédé] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 103,78 Go (44,02 Go free) [Dédé 2] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Acronis\CDP\afcdpsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NetLimiter 2 Pro\nlsvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\NetLimiter 2 Pro\NLClient.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZLT04dd1.TMP 
Quarantined & Deleted !! : C:\WINDOWS\Temp\ZLT05393.TMP 
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKCR\CLSID\{0055c089-8582-441b-a0bf-17b458c2a3a8}  
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
AntiSpyWareDisableNotify	REG_DWORD      	0 (0x0) 
InternetSettingsDisableNotify	REG_DWORD      	0 (0x0) 
UacDisableNotify	REG_DWORD      	0 (0x0) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================ 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3A8EC5]<< 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 40 / 163
Utilisateur anonyme
6 juin 2010 à 11:36
salut

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
0

Discussions similaires

Que signifient les abréviations ''bp'', '''bc'', ''db'' etc. au football ?
Jac65 -
Phyfi88 -

7 réponses
site coco chat (incitation a payer)
cocorico66 -
Xileh -

108 réponses
Je cherche une site de tchat gratuit pour adulte
faddygnato -
Freddy -

5 réponses
[SUJET GROUPÉ] Problèmes rencontrés sur le site COCO.
Pisceneo -
Radinoz -

17 réponses
dessin de chat (avec le clavier)
dessinnaShadd ^_^ -
baladur13 -

7 réponses